ASM kann Lücken füllen, während an welcher Implementierung von SBOM gearbeitet wird

Eine Software-Stückliste (SBOM) ist ein wichtiges Tool, mit dem Unternehmensverteidiger die Auswirkungen von Software-Sicherheitsfehlern verfolgen, ein vernünftiges Patch-Management verwalten und die Unversehrtheit welcher Software-Versorgungskette qua Ganzes schützen können. Dies sagen zahlreiche Branchenführer. Dies sagt dasjenige Büro des Präsidenten welcher Vereinigten Staaten.

Warum sind sie noch nicht weit verbreitet? Worüber zeugen sich Softwareanbieter Sorgen? Wissen sie irgendetwas, welches wir nicht wissen?

Hinauf einem kürzlich in Whitehall, London, abgehaltenen CISO-Forum hatten viele CISOs dasjenige Gefühl, dass die Herausforderungen und die Tempo des Wandels in welcher Anwendungssicherheit, insbesondere in einer Cloud-fähigen Umgebung, sie kleine Menge verblüfft und herausgefordert hatten, ihre Architekturmodelle und ihr Denken zu ändern, um vollwertig zu werden cloudnativ. Insbesondere zögerte man, veraltete Kontrollmethoden wie IP-basierte Zugriffslisten und endpunktbasierte Sicherheitskontrollen aufzugeben.

Zögernd, die SBOM auszulösen

Es gibt mehrere interessante Möglichkeiten, die die Tendenz zur verzögerten Verfügbarmachung von SBOMs vorantreiben könnten.

Dies erste ist Unkenntnis welcher eigenen Versorgungskette. Es ist möglich, dass die Provider den Ursprung einiger ihrer Software nicht Kontakt haben. In großen Entwicklungsteams und langen, komplexen Projekten ist es gängige Realität, ganze Codeabschnitte effektiv in eine „Black Kasten“ zu packen.

Wenn dies welcher Kasus ist, wirft die Tatsache, dass die Organisation notfalls die Ursprünge ihrer Software nicht vollwertig kennt, eine Vielzahl von Hader uff. Es könnte uff was auch immer Mögliche hinweisen, von einer schlechten Versionsverfolgung solange bis hin zur Existenz potenziell unverzichtbarer Mitwirkender, die dasjenige Schicksal des gesamten Unternehmens in ihren Programmierhänden halten. Es ist völlig verständlicherweise, dass ein solches Unternehmen zögert, SBOMs für jedes seine Produkte freizugeben.

Ein weiteres Szenario, dasjenige ein Unternehmen misstrauisch im Gegensatz zu SBOMs zeugen könnte, ist wenn dasjenige Produkt sozusagen vollwertig aus anderen Produkten zusammengesetzt ist. Es ist die Wirklichkeit welcher modernen Softwareentwicklung, dass Programme dasjenige Ergebnis von benutzerdefiniertem Identifizierungszeichen sind, welcher mit Bibliotheken und Komponenten von Drittanbietern zusammengeschustert wird. Wenn dasjenige Unternehmen zusammensetzen sehr geringen Prozentsatz seines eigenen Codes geschrieben hat, könnte die SBOM im Wesentlichen zu einer Rezeptkarte für jedes Leckermaul anderen werden, um dasjenige Produkt zu klonen.

Dagegen dasjenige wahrscheinliche Szenario ist, dass Softwarefirmen dies tun könnten sehe keinen Vorteil, nur potenzielle Nachteile zum Veröffentlichen von SBOMs. Derzeit gibt es sehr wenig Marktdruck uff die Freigabe von SBOMs für jedes ihre Produktlinien. Sie nach sich ziehen vielleicht eine für jedes den internen Gebrauch erstellt, nunmehr es gibt keinen wirklichen Verdichtung, sie zu veröffentlichen. Die von CISOs geäußerte Hauptsorge ist, dass ein SBOM zwar die Visibilität verbessern kann, nunmehr wenig Impulse für jedes die Beseitigung gibt und keine Haftung für jedes die Beseitigung von Softwarefehlern besteht – und dasjenige Problem unverändert dem Endbenutzer, dem CISO, überlassen wird.

Vorbei an welcher SBOM

Es ist unwahrscheinlich, dass die Industrie oder die kaufende Öffentlichkeit in welcher Standpunkt sein werden, den Marktdruck zu erzeugen, welcher erforderlich ist, um jeden großen Player zu zwingen, eine SBOM für jedes jeder seine Produkte herauszugeben. Im Mai 2021 erließ die US-Regierung eine Durchführungsverordnung zur Verbesserung welcher Cybersicherheit des Landes, die explizit SBOMs qua Kontrollmaßnahme für jedes die Softwarelieferkette forderte. Die EU-Regierung hat ihrerseits zusammensetzen Cyber-Resilience-Vorschlag geplant, um die Anforderungen welcher US-Verordnung widerzuspiegeln und zu unterstützen.

Wenn welcher Hauptzweck eines SBOM dasjenige Patch-Management und die Zuordnung von Schwachstellen ist, gibt es eine sekundäre Höhe welcher Überwachung und des Schutzes, die dasjenige Cybersicherheitspersonal berücksichtigen sollte: Attack Surface Management (ASM).

Während es für jedes Unternehmenssicherheitsteams irgendetwas einfacher wäre zu wissen, dass die von ihnen verwendete Software die Pakete X, Y und Z enthält, ist dies nicht die einzige Möglichkeit, die Anwendungssicherheit zu verwalten. Während wir den Verlauf welcher Sicherheitshinweise dieser Softwarepakete verfolgen, können wir die wahrscheinlichsten Angriffsvektoren vorausberechnen, denen sie zum Todesopfer hinschlagen können.

Die Zusammensetzung dieser Schwachstellen, kompiliert aus jeder Software, die ein Unternehmen verwendet, bildet die Angriffsfläche eines Unternehmens. ASM versucht, ebendiese Schwachstellen intelligent zu kategorisieren und die Erkennung, Beseitigung und kontinuierliche Überwachung neuer Bedrohungen zu automatisieren.

Es ist, qua würde man zusammensetzen Schwachstellen-Beratungsdienst mit einer Software-Verwaltungslösung für jedes Unternehmen verbinden. Die Klasse und Weise, wie welcher ASM dies tut, ist von Produkt zu Produkt unterschiedlich, nunmehr im Allgemeinen ist ein gewisses Vermessung an maschinellem Lernen erforderlich. Hinauf ebendiese Weise können Vorhersagemodelle erstellt werden, sodass Sie c/o welcher Erfindung bestimmter Zero-Day-Exploits wissen, mit welcher Wahrscheinlichkeit sie uff Ihre Angriffsfläche angewendet werden, sogar wenn Sie nicht reichlich eine detaillierte SBOM von jedem Provider verfügen.

Ein guter ASM hat den zusätzlichen Vorteil, Enten wie Enten zu erläutern. Sie wissen: Wenn es aussieht wie eine Zeitungsente und wie eine Zeitungsente quakt, ist es egal, ob es Leckermaul anderes stattdessen qua Schwan bezeichnet. Dieser ASM wissbegierig sich nur für jedes Ergebnisse. Wenn ein Unternehmen darauf besteht, dass es die Open Dynamics Engine verwendet, nunmehr aus irgendeinem mysteriösen Grund denselben Schwachstellen wie die PhysX-Engine zum Todesopfer fällt, unberücksichtigt ASM Labels vollwertig und schlägt die Fixes vor, die tatsächlich zur Situation passen, und nicht die, die erfüllen zu den Namen.

Sogar wenn die Reifung hin zur Mainstream-Aufnahme von SBOM weiterhin langsam voranschreitet, nach sich ziehen Sicherheitsexperten mit ASM eine starke Wahlmöglichkeit. Es ist gleichfalls erwähnenswert, dass ASM jede SBOM-basierte Software-Governance durch ein dynamisches Risikominderungssystem ergänzen wird.

Anstatt irgendetwas lokal zu übernehmen und bereitzustellen, um Ihre Schwachstellenerkennungs- und Überwachungsanforderungen zu gerecht werden, besteht eine andere Wahlmöglichkeit darin, ein agentenloses Sicherheitsmodell zu nutzen, dasjenige erweiterte Angriffsflächen für jedes Assets beaufsichtigen kann. Dies Device-Intelligence-Unternehmen Armis zum Vorbild tut dies mit einem vollwertig Cloud-nativen Verfahren. Stellen Sie es sich qua eine ASM-Problembeseitigung vor, die IoT-Geräte, Cloud-Instanzen und Edge-Networking-Setups sowie herkömmliche On-Premises-Lösungen abdeckt.

Ein solches Prototyp stellt eine andere, globalere Sichtweise uff Extra Intelligence dar, die für jedes den Unternehmen großer Unternehmen attraktiver sein könnte. Kleinere Betriebe möchten jedoch wahrscheinlich ihr Geld für jedes ein gutes ASM sparen und sich uff zusätzliche Wachsamkeit für jedes ihre erweiterten Netzwerkgeräte verlassen.